Закрыть исходящие соединения, Проблема воровства трафика |
Здравствуйте, гость ( Вход | Регистрация )
Настоящие Правила Раздела являются дополннением к Общим Правилам Конференции. В случаях противоречий отдельных пунктов, действуют Правила Раздела.
Закрыть исходящие соединения, Проблема воровства трафика |
romav |
05.01.2009, 09:29
Сообщение
#1
|
Группа: Старые пользователи Сообщений: 10 Регистрация: 04.01.2009 Пользователь №: 8,692 Репутация: 193 |
Здравствуйте!
Возникла необходимость закрыть исходящие соединения, дабы не воровали трафик через wget, тоесть есть локальный трафик, а есть зарубежный. Качать могут шеллом через сервер, а потом выкачивать уже по локальному трафику на компьютер. Или еще как-то кроме wget можно своровать трафик? Каким образом это сделать? И еще, как ограничить размер входящих писем, чтобы не высылали файлы огроменные из внешнего И-нета себе на ящики. Буду благодарен за ответы (IMG:style_emoticons/default/smile.gif) |
eSupport.org.ua |
05.01.2009, 09:33
Сообщение
#2
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 263 |
Первое - через файр, второе - настройками MTA
|
romav |
05.01.2009, 09:36
Сообщение
#3
|
Группа: Старые пользователи Сообщений: 10 Регистрация: 04.01.2009 Пользователь №: 8,692 Репутация: 193 |
А доходчивее объяснить, пожалуйста, можете?
|
ultrasparc |
05.01.2009, 11:37
Сообщение
#4
|
Группа: Старые пользователи Сообщений: 772 Регистрация: 05.08.2005 Из: UA SVAI Пользователь №: 1,499 Репутация: 220 |
В интернете достаточно документации по настройке файрвола,
только вы даже не назвали какая у вас ОС. |
ALLEANZA.RU |
03.02.2009, 09:38
Сообщение
#5
|
Группа: Старые пользователи Сообщений: 63 Регистрация: 01.03.2007 Пользователь №: 5,191 Репутация: 204 |
Или еще как-то кроме wget можно своровать трафик? Можно, конечно так.... 1) # chmod 700 /usr/local/bin/wget # chmod 700 /usr/local/bin/lynx # chmod 700 /usr/bin/fetch # chmod 700 /usr/local/bin/GET + чем там еще можно выкачать.... 2) PHP allow_url_fopen = Off allow_url_include = Off + запретить открытие сокетов, использование CURL, команды для работы с FTP А там еще и Perl, Python... А можно закрыть исходящие соединения на чужие ИПы на порты 80, 8000, 8080, 20-21, что-то-там-еще |
myhand |
05.02.2009, 21:49
Сообщение
#6
|
Группа: Старые пользователи Сообщений: 2 Регистрация: 29.10.2006 Пользователь №: 4,026 Репутация: 206 |
Возникла необходимость закрыть исходящие соединения, дабы не воровали трафик через wget Рабочее решение - только средствами файервола. Если шелл/скрипты работают под отдельными пользователями, конечно. Iptables умеет научиться различать пакеты для разных uid/gid - можно настроить аудит трафика. В OpenBSD есть аналогичные вещи. Если скрипты работают под общим пользователем - нужно ходить с паяльником и периодически отлавливать нарушителей ;-) |
gentooman |
07.03.2009, 09:39
Сообщение
#7
|
Группа: Старые пользователи Сообщений: 17 Регистрация: 01.11.2008 Пользователь №: 8,344 Репутация: 196 |
Здравствуйте! Возникла необходимость закрыть исходящие соединения, дабы не воровали трафик через wget, тоесть есть локальный трафик, а есть зарубежный. Качать могут шеллом через сервер, а потом выкачивать уже по локальному трафику на компьютер. Или еще как-то кроме wget можно своровать трафик? Все зависит от структуры хостинговой площадки. Закрыть исходящие - средствами файрволла. Правда при этом рискуем нарушить работу клиентских сайтов - баннеры, счетчики, картинки, новости могут подгружаться с других серверов инета. И бороться с выравнивателями траффика трудно. wget - один из множества вариантов. Если есть шелл - в то общем случае никак. Тем более если у Вашего клиента, есть еще шелл где-нить за бугром, где трафф/соотношение не считается, то совсем беда: (к примеру с забугорной тачки на ваш хостинг) scp big_file login@hosting_ip:/dev/null cat big_file | ssh login@hosting_ip "cat > /dev/null" + куча всяких других вариантов, в т.ч. и скриптами сайта (многократная передача методом post больших кусков). Сейчас выгоднее купить дешевенький хостинг/шелл за бугром именно для таких целей, нежели рисковать попасть на бабло по трафику у российских хостеров. И таких "умельцев" заблокировать/отловить тяжело. (IMG:style_emoticons/default/sad.gif) Сообщение отредактировал gentooman - 07.03.2009, 09:47 |
gentooman |
07.03.2009, 12:08
Сообщение
#8
|
Группа: Старые пользователи Сообщений: 17 Регистрация: 01.11.2008 Пользователь №: 8,344 Репутация: 196 |
Возникла необходимость закрыть исходящие соединения, дабы не воровали трафик через wget, тоесть есть локальный трафик, а есть зарубежный. Качать могут шеллом через сервер, а потом выкачивать уже по локальному трафику Кста-ти, если напрягает зарубежный траффик - можно просто обрезать все "забугорье" файрволлом, оставив только к примеру поисковики. Списки сетей рунета - найти в инете (при этом списки регулярно обновляются - надо будет отслеживать). |
different |
07.03.2009, 13:41
Сообщение
#9
|
Группа: Старые пользователи Сообщений: 804 Регистрация: 29.06.2008 Из: Народный комиссариат виртуальных дел Пользователь №: 7,738 Репутация: 210 |
Кста-ти, если напрягает зарубежный траффик - можно просто обрезать все "забугорье" файрволлом, оставив только к примеру поисковики. Списки сетей рунета - найти в инете (при этом списки регулярно обновляются - надо будет отслеживать). Клиенты, боюсь, не оценят обрезанного забугра. (IMG:style_emoticons/default/smile.gif) |
Roman Hirauka |
07.03.2009, 15:47
Сообщение
#10
|
Группа: Старые пользователи Сообщений: 1,098 Регистрация: 06.01.2009 Из: Беларусь Пользователь №: 8,701 Репутация: 203 |
Зачем такие примудрости? Берете mod_cband и будет Вам счастье. Трафик считает и блокирует по заданным лимитам (IMG:style_emoticons/default/smile.gif)
|
gentooman |
07.03.2009, 22:26
Сообщение
#11
|
Группа: Старые пользователи Сообщений: 17 Регистрация: 01.11.2008 Пользователь №: 8,344 Репутация: 196 |
Но если проанализаровать предпосылки топикстартера, то станет видно, что ему именнго забугор не нравиться. Прям уж взять и закрыть все исходящие, чтоб из забурга не качали. А рунет? Проще уж тогда просто весь "забугор" отрезать - оставив нужные сервисы. (IMG:style_emoticons/default/wink.gif) Либо я чего-то непонимаю (IMG:style_emoticons/default/blink.gif) |
Текстовая версия | Сейчас: 28.04.2024, 05:35 |